Win32.HLLW.Autoruner1.29813

Добавлен в вирусную базу Dr.Web: 2012-11-17

Описание добавлено: 2012-11-17

Для обеспечения автозапуска и распространения:

Создает следующие файлы на съемном носителе:

Вредоносные функции:

Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:

[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DoNotAllowExceptions' = '00000000'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<Полный путь к вирусу>' = '<Полный путь к вирусу>:*:Enabled:ipsec'

Для затруднения выявления своего присутствия в системе

блокирует отображение:

блокирует запуск следующих системных утилит:

блокирует:

Создает и запускает на исполнение:

Запускает на исполнение:

Внедряет код в

следующие системные процессы:

большое количество пользовательских процессов.

Изменения в файловой системе:

Создает следующие файлы:

%TEMP%\a.exe
%TEMP%\winnjdnuf.exe
%TEMP%\000325AA_Rar\<Имя вируса>.exe
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\u[1].exe

Присваивает атрибут 'скрытый' для следующих файлов:

Удаляет следующие файлы:

Сетевая активность:

Подключается к:

TCP:

Запросы HTTP GET:

UDP:

Другое:

Ищет следующие окна: